如何缓解2022年物联网安全威胁

图示：© IoT For All → 物联网（IoT）在数字转型中扮演关键角色。然而，在许多情况下，组织机构意识到他们已经拥有大量过去几年逐渐部署的旧版物联网设备。其中许多设备最初并未考虑到安全性。物联网面临的最大问题之一，是如何应对不断增长的设备数量带来的风险。物联网设备的信息安全和隐私问题已引起全球关注，因为它们能够与物理世界产生互动。物联网漏洞不断出现，这使得制造商必须强调从设计阶段就重视物联网安全。在各行各业中，物联网漏洞不断被发现和披露，这些漏洞不仅威胁到敏感数据，还可能危及个人安全。毫无疑问，物联网在2022年成为黑客的主要目标，任何制造或使用物联网设备的组织都必须做好准备。 “毫无疑问，物联网是2022年黑客的主要目标，任何制造或使用这些设备的组织都必须做好准备。” — MoviDev 点击推文 ## 物联网安全威胁 下面我们将简要回顾一些由物联网设备带来的常见网络安全威胁。 ### 物联网僵尸网络 物联网设备是僵尸网络建设者（即劫持数百万台设备用于犯罪活动的黑客）的诱人口标。由于物联网设备的弱安全性以及大量基本相同的设备，攻击者可以用相同的方法入侵。攻击者可以利用未受保护的端口或网络钓鱼诈骗向物联网设备植入恶意软件，并将其纳入可用于发起大规模网络攻击的僵尸网络。黑客可以使用现成的攻击工具包来识别敏感设备，入侵并逃避检测。工具包中的另一个模块则会指示设备发起攻击或代表僵尸网络所有者窃取信息。攻击者常常在分布式拒绝服务（DDoS）攻击中利用物联网僵尸网络；请参见下面的示例攻击部分。 ### 数据泄露 当黑客使用恶意软件感染物联网设备时，他们不仅可以将设备纳入僵尸网络，还可以访问设备数据并窃取其中存储的任何敏感信息。攻击者还会通过设备固件提取凭据，利用这些凭据进入企业网络或其他存储敏感数据的系统。通过这种方式，对一个看似无害的设备的攻击就可能演变为大规模的数据泄露。 ### 影子物联网 影子物联网的出现是因为IT管理员并不总是能控制连接到网络的设备。诸如数字助理、智能手表或打印机等带有IP地址的设备，常常连接到企业网络，并不总是满足安全标准。在不了解影子物联网设备的情况下，IT管理员无法确保硬件和软件具有基础安全功能，也难以监控设备上的恶意流量。当黑客入侵这些设备时，他们可以利用这些设备与企业网络的连接，提升权限，从而访问企业网络上的敏感信息。 ## 有代表性的物联网安全漏洞和攻击事件 自20世纪末物联网概念诞生以来，安全专家一直警告称，连接到互联网的设备将对社会带来风险。从那时起，许多大规模的攻击事件被公开，攻击者入侵了物联网设备，对公共安全和企业安全构成真实威胁。以下是一些例子： ### Stuxnet 2010年，研究人员发现名为Stuxnet的病毒造成了伊朗核离心机的物理损坏。这次攻击始于2006年，2009年为攻击的高潮阶段。该恶意软件篡改了发送给可编程逻辑控制器（PLC）的指令。Stuxnet通常被视为物联网攻击之一，是早期针对工业环境中使用的监控控制与数据采集（SCADA）系统的攻击之一。 ### 首个物联网僵尸网络 2013年，Proofpoint研究人员发现了如今被称为“首个物联网僵尸网络”的攻击。超过25%的僵尸网络设备是非计算机设备，如智能电视、家用电器和婴儿监视器。此后，CrashOverride、VPNFilter和Triton等恶意软件广泛用于入侵工业物联网系统。 ### 黑客入侵Jeep汽车 2015年，两位安全研究人员通过车辆搭载的克莱斯勒Uconnect系统，无线入侵了一辆Jeep汽车，并执行了远程操作，如切换收音机频道、开启雨刷和空调。研究人员称，他们可以禁用刹车并导致引擎熄火、减速甚至完全停转。 ### Mirai僵尸网络 2016年，Mirai僵尸网络开始活动，这是迄今发现的最大的物联网僵尸网络之一。它最初攻击了安全研究人员布赖恩·克雷布斯（Brian Krebs）的网站以及欧洲的一家托管公司OVH。攻击规模巨大——达到630 Gbps和1.1 Tbps。随后，Mirai僵尸网络被用来攻击大型DNS提供商Dyn，影响了包括Twitter、亚马逊、Netflix和纽约时报在内的知名网站。攻击者利用物联网设备（如路由器和IP监控摄像头）建立网络。 ### 圣犹大心脏设备漏洞 2017年，美国食品药品监督管理局（FDA）宣布，由圣犹大医疗公司（St. Jude Medical）制造的植入式心脏设备（包括植入患者体内的起搏器）存在被攻击的漏洞。在Black Hat会议上发表演讲的安全研究人员Billy Rios和Jonathan Butts证明了他们可以入侵起搏器并关闭其功能。如果黑客执行类似操作，可能会导致患者死亡。 ## 物联网安全最佳实践 在您开始为组织制定物联网安全策略时，以下是一些可以提升您整体安全态势的最佳实践： ### 使用物联网安全分析 安全分析基础设施可以显著减少与物联网相关的漏洞和安全问题。这需要从多个物联网源收集、整理并分析数据，并将其与威胁情报相结合，再发送给安全运营中心（SOC）。当物联网数据与其他安全系统的数据结合时，安全团队将更有可能识别并响应潜在威胁。安全分析系统可以关联数据源并识别可能代表可疑行为的异常情况。安全团队可以随后调查和响应这些异常情况，防止攻击者入侵企业物联网设备。 ### 网络分段 网络分段是一种通过隔离特定组件以提高安全性的方式。在物联网领域，分段可以帮助防止攻击者或恶意内部人员连接到物联网设备，或防止已被入侵的设备感染网络的其他部分。您可以将此技术纳入策略中，或使用网络安全部署方案。开始分段工作时，应创建一个正在使用的物联网设备的完整清单，包括它们的连接方式（VLAN或LAN）、传输的数据类型和方式，以及每台设备在网络中需要连接到的其他设备。特别要检查每一类设备是否需要访问互联网，如不需要，应予以禁用。一种分段建议是根据设备类别（如数据采集、基础设施或员工个人设备）进行划分。您可以根据每个物联网终端的连接需求制定分段策略，并采取措施隔离或限制那些确实不需要连接的终端的网络访问。 ### 启用设备认证 另一种减少物联网设备易受攻击的方式是强制所有设备进行完整认证。无论您的物联网设备采用简单的密码认证，还是更高级的措施如数字证书、生物识别或多因素认证（MFA），都应使用设备上最安全的认证方式，并确保您从不使用出厂默认密码。 ### 人工智能与机器学习在物联网安全中的应用 不断扩展的物联网设备网络会产生大量数据，而这些数据若没有适当分析则毫无用处。借助人工智能（AI）和机器学习，可以分析这些海量数据，使机器能够自行学习、记住所学内容，并提升物联网系统的功能。作为最新的物联网趋势之一，基于AI的入侵检测系统（IDS）持续监控网络，收集和分析来自先前攻击的信息。它们可以根据历史数据预测攻击，并提出解决方案以应对威胁。即使新的黑客技术被创造出来，它们可能仍然包含之前使用过的模式，这些模式可以由机器学习算法在实时中识别。总体而言，基于机器学习的IDS有两种类型： - **异常IDS**：基于记录的正常行为检测攻击，将当前实时流量与之前记录的正常实时流量进行比较。这些系统能够检测新型攻击，并被广泛使用，尽管误报率较高。 - **滥用或签名IDS**：将当前实时流量中识别的模式与已知的过去攻击模式进行比较。它误报率较低，但新型攻击可能无法被检测出来。 可用于攻击识别和分类的机器学习算法包括线性判别分析（LDA）、分类与回归树（CART）和随机森林（Random Forest）。 推文 分享 分享 邮件 人工智能 网络安全 数据分析 物联网 IT与安全 → 人工智能 网络安全 数据分析 物联网 IT与安全